HackerNews

HackerNews 编译，转载请注明出处： Microsoft曝光了一个已修复的Apple macOS安全漏洞。该漏洞若被成功利用，可使以“root”身份运行的攻击者绕过操作系统的系统完整性保护（SIP），并通过加载第三方内核扩展来安装恶意内核驱动程序。 该漏洞为CVE-2024-44243（CVSS评分：5.5），属于中等严重程度，苹果已在上月发布的macOS Sequoia 15.2中进行了修复。苹果公司将此描述为一个“配置问题”，可能允许恶意应用修改文件系统的受保护部分。 Microsoft威胁情报团队的Jonathan Bar Or表示：“绕过SIP可能导致严重后果，例如增加攻击者和恶意软件作者成功安装rootkit、创建持久性恶意软件、绕过透明度、同意和控制（TCC）以及扩大攻击面和利用其他技术的可能性。” SIP（也称为无根模式）是一个安全框架，旨在防止安装在Mac上的恶意软件篡改操作系统的受保护部分，包括/System、/usr、/bin、/sbin、/var以及设备上预安装的应用程序。 它通过针对root用户账户执行各种保护来实现其功能，仅允许由苹果签名并具有写入系统文件的特殊权限的进程（如苹果软件更新和苹果安装程序）修改这些受保护的部分。 SIP特有的两项权限如下： com.apple.rootless.install：此权限可解除SIP对具有该权限的进程的文件系统限制。 com.apple.rootless.install.heritable：此权限通过继承com.apple.rootless.install权限，可解除SIP对进程及其所有子进程的文件系统限制。 CVE-2024-44243是Microsoft在macOS中发现的最新SIP绕过漏洞，此前发现的类似漏洞包括CVE-2021-30892（Shrootless）和CVE-2023-32369（Migraine）。该漏洞利用存储套件守护进程（storagekitd）的“com.apple.rootless.install.heritable”权限来绕过SIP保护。 具体而言，这是通过利用“storagekitd在无需适当验证或降低权限的情况下调用任意进程的能力”来实现的，可将新的文件系统包传递到/Library/Filesystems（storagekitd的子进程），并覆盖与磁盘工具相关的二进制文件，这些二进制文件可在执行某些操作（如磁盘修复）时被触发。 Bar Or表示：“由于能够以root身份运行的攻击者可以将新的文件系统包放入/Library/Filesystems，他们随后可以触发storagekitd生成自定义二进制文件，从而绕过SIP。在新创建的文件系统上触发擦除操作也可以绕过SIP保护。” 此次披露距Microsoft曝光Apple macOS透明度、同意和控制（TCC）框架中的另一个安全漏洞（CVE-2024-44133，CVSS评分：5.5），即HM Surf漏洞，已近三个月，该漏洞可能被利用来访问敏感数据。 Bar Or表示：“禁止第三方代码在内核中运行可以提高macOS的可靠性，但代价是降低了安全解决方案的监控能力。如果SIP被绕过，整个操作系统将不再可靠，且由于监控可见性降低，威胁行为者可以篡改设备上的任何安全解决方案以逃避检测。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 非营利性献血机构OneBlood证实，去年夏天的一次勒索软件攻击中，捐赠者的个人信息被盗。 OneBlood于2024年7月31日首次向公众通报此次攻击，指出勒索软件攻击者对其虚拟机进行了加密，迫使这家医疗机构回退到使用手动流程。 OneBlood为美国250多家医院提供血液，此次攻击导致血液采集、检测和分发工作延误，一些诊所启动了“严重血液短缺”预案。 当时，这家非营利机构紧急呼吁民众捐赠O型阳性、O型阴性和血小板，这些血型普遍适用，可用于紧急输血。 上周，OneBlood开始向受影响的个人发送数据泄露通知，告知他们针对此事件的调查已于2024年12月12日完成，并确定泄露的确切日期为2024年7月14日。 威胁者在OneBlood发现泄露后的一天，即7月29日之前，一直可以访问其网络。 “我们的调查显示，2024年7月14日至7月29日期间，我们的网络中某些文件和文件夹被未经授权地复制。”OneBlood的数据泄露通知中写道。 “调查确定，您的姓名和社保号码包含在相关文件和文件夹中。”同一份文件指出。 虽然采血中心通常会收集更多信息，如电话号码、电子邮件和实体地址、人口统计数据和病史，但此次泄露的数据仅限于姓名和社保号码。 姓名和社保号码可能会被用于身份盗窃和金融欺诈，由于这些信息不易更改，相关风险将持续多年。 为减轻这一风险，OneBlood在信中附上了免费一年期信用监测服务的激活码，通知收件人需在2025年4月9日前使用。 此外，受影响个人应考虑对其账户进行信用冻结和欺诈警报设置，以防止遭受经济损失。 虽然OneBlood确实遵守了其最初承诺，即告知受影响个人可能存在的数据泄露风险，但六个月的延迟通知仍使这些人处于风险之中。 OneBlood在勒索软件攻击中受影响的人数尚未披露。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

研究人员发现，可能与俄罗斯有关联的威胁组织 APT28正在监视中亚国家外交实体，以收集该地区的经济和政治情报。 该组织被追踪为 UAC-0063，至少自 2021 年以来一直活跃，此前曾针对乌克兰、以色列、印度以及哈萨克斯坦、吉尔吉斯斯坦和塔吉克斯坦等多个中亚国家的外交、非营利、学术、能源和国防实体进行攻击。 在对7 月份针对乌克兰科研机构的攻击进行分析时，乌克兰计算机应急反应小组 (CERT-UA) 认为 UAC-0063 与 APT28（又名 Fancy Bear 或 BlueDelta）有“中等信心”关联，后者与俄罗斯军事情报机构 (GRU) 有关联。 网络安全公司 Sekoia发现并于周一在一份报告中描述了正在进行的网络间谍活动，黑客使用合法文件（例如信函、草稿文件或内部行政记录）向受害者发送恶意软件，这些文件可能来自哈萨克斯坦外交部。 他们如何获得这些文件尚不清楚，但研究人员表示，这些文件可能是在早先的网络行动中被泄露的，或通过开源收集获得的，或通过物理操作获得的。 Sekoia发现了近二十份这样的文件，日期从 2021 年到 2024 年 10 月。其中大部分涉及哈萨克斯坦与其他国家之间的外交合作和经济问题。 这些恶意文件包含两种已知的恶意软件，Cherryspy 和 Hatvibe，这两种恶意软件都曾用于针对亚洲和乌克兰的网络间谍活动。Cherryspy 后门允许攻击者执行从命令和控制服务器收到的 Python 代码，而 Hatvibe 则可以在受感染的设备上下载和执行其他文件。 研究人员表示，尽管该组织在这次活动中使用了熟悉的工具，但感染链“非常独特”，并强调其专注于绕过安全解决方案。 研究人员认为，此次活动是针对中亚国家，特别是哈萨克斯坦外交关系的更大规模全球网络间谍行动的一部分。 他们表示：“此次攻击活动的目的可能是收集哈萨克斯坦与西亚、中亚国家关系的战略和经济情报。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/V7z5IYda7TOTQgLtpN2oEA 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 威胁行为者正在分发伪装成针对近期Windows LDAP漏洞的概念验证（PoC）利用代码的信息窃取恶意软件。 该安全缺陷被追踪为CVE-2024-49113（CVSS评分7.5），可导致拒绝服务（DoS）攻击，并于12月10日与其他70多个漏洞（包括可能导致远程代码执行（RCE）的关键LDAP漏洞CVE-2024-49112）一同得到修复。 在针对这两个问题的补丁发布不到一个月后，SafeBreach发布了针对CVE-2024-49113的PoC代码，并称其重要性不亚于RCE漏洞。 SafeBreach将CVE-2024-49113称为“LDAP噩梦”，指出如果存在可访问互联网的DNS服务器，该漏洞可被利用来崩溃任何未打补丁的Windows服务器，即使这些服务器不是域控制器。 现在，趋势科技警告称，一款伪造的PoC利用代码诱使安全研究人员在其系统上执行信息窃取恶意软件。 “尽管使用PoC诱饵作为恶意软件传播手段的策略并非新鲜事，但此次攻击仍引发重大担忧，尤其是它利用了可能影响更多受害者的热门问题，”趋势科技指出。 该PoC通过从原始仓库分叉的仓库进行分发，并将原始Python文件替换为使用UPX打包的可执行文件。 执行后，伪造的PoC会在系统的临时文件夹中释放一个PowerShell脚本。该脚本创建一个计划任务，执行一个编码后的脚本，该脚本旨在从Pastebin下载另一个脚本。 第二个脚本收集系统信息，如进程列表、目录列表、IP地址、网络适配器信息和已安装更新，将其压缩成ZIP归档文件，并上传到外部FTP服务器。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一种新的勒索软件活动正在利用亚马逊AWS的客户提供的密钥服务器端加密（SSE-C）功能加密S3存储桶，只有威胁行为者才知道解密密钥，并要求支付赎金以获取该密钥。 这一活动由Halcyon发现，据其报告，名为“Codefinger”的威胁行为者已至少对两名受害者进行了加密。然而，该行动可能会升级，或者很快会有更多威胁行为者采用这一战术。 亚马逊简单存储服务（S3）是亚马逊云服务（AWS）提供的一种可扩展、安全且高速的对象存储服务，而S3存储桶是用于存储文件、数据备份、媒体、日志等的云存储容器。 SSE-C是一种加密选项，用于确保S3静态数据的安全，允许客户使用自己的加密密钥，通过AES-256算法对数据进行加密和解密。AWS不存储该密钥，客户负责生成、管理和保护密钥。 在Codefinger的攻击中，威胁行为者使用被破解的AWS凭证，利用具有“s3:GetObject”和“s3:PutObject”权限的受害者密钥，定位到S3存储桶中的对象进行SSE-C加密。 然后，攻击者在本地生成一个加密密钥，对目标数据进行加密。 由于AWS不存储这些加密密钥，因此即使受害者向亚马逊报告了未经授权的活动，也无法在没有攻击者密钥的情况下恢复数据。 Halcyon解释道：“通过利用AWS原生服务，他们在不合作的情况下实现了既安全又无法恢复数据的加密。” 接下来，攻击者使用S3对象生命周期管理API设置了一个七天的文件删除策略，并在所有受影响的目录中放置了勒索信，指示受害者在给定的比特币地址上支付赎金以换取自定义的AES-256密钥。 勒索信还警告受害者，如果他们尝试更改账户权限或修改存储桶中的文件，攻击者将单方面终止谈判，使受害者无法恢复其数据。 Halcyon已将其发现报告给亚马逊，云服务提供商表示，他们会尽力及时通知密钥已泄露的客户，以便他们立即采取行动。 亚马逊还鼓励人们实施严格的安全协议，并按照以下步骤快速解决未经授权的AWS账户活动问题。 Halcyon还建议AWS客户设置限制性策略，以防止在其S3存储桶中使用SSE-C。 关于AWS密钥，应禁用未使用的密钥，频繁轮换活跃的密钥，并将账户权限保持在所需的最低级别。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 《流放之路2》开发团队证实，一名黑客通过破解的管理员账号修改了密码，并访问了至少66个玩家账号。这一事件终于解释了自去年11月以来，《流放之路2》（PoE 2）玩家账号频繁被盗的原因。 被攻破的管理员账号使黑客能够更改其他玩家账号的密码，导致许多玩家的游戏内购买物品丢失，包括他们耗费数百小时才获得的珍贵物品。 然而，由于日志保留的时间限制，目前无法确定此次事件波及的确切范围，这意味着可能有更多账号在此次攻击中失窃。 《流放之路2》是一款由Grinding Gear Games发行的极受欢迎的单人和合作动作角色扮演游戏，是备受赞誉的“黑暗幻想”免费游戏《流放之路》的续作。 尽管目前仍处于抢先体验阶段，但这款游戏在Steam上好评如潮，已经形成了一个由数万名玩家组成的忠实社区，还有更多玩家翘首以盼其正式发行。 《流放之路2》的玩家在游戏论坛上报告称，近期出现了一波账号被盗事件。他们发现，无论是Steam账号还是独立的PoE账号，在未被触发双重身份验证代码请求的情况下就被攻破了。 这些受害者在被黑客攻击后突然退出游戏和Steam。当他们通过Steam客服的帮助重新登录时，发现黑客已经盗走了他们所有的游戏内物品，包括珍贵的神圣宝珠和终极装备。 据受害玩家在论坛上的帖子称，PoE客服告诉他们，无法回滚账号或恢复被盗物品，因此损失无法挽回。 通过旧Steam账号被盗取的管理员权限 据404 Media首次报道，昨日，《流放之路2》游戏总监乔纳森·罗杰斯在接受GhazzyTV的《酒馆谈话》播客采访时确认，此次黑客攻击是通过一个与他们的管理员账号相关联的旧Steam账号进行的，该账号已被攻破。 黑客利用部分信息，如信用卡的最后四位数字，说服Steam客服重置凭据并控制了该账号。 这使得黑客能够访问《流放之路2》的管理员账号，并进一步访问其他玩家的账号。 虽然开发团队尚未确认，但Reddit等网站上分享了一张所谓的《流放之路2》管理面板的截图，据称该面板被用于修改玩家的密码。 更糟糕的是，当《流放之路2》的账号密码被更改时，它会被记录为一个可编辑的备注，而不是作为一个不可编辑的审计条目进行记录。 “实际上，存在一个漏洞，即将新密码设置为账号的事件被错误地标记为备注，而不是像审计事件那样。”罗杰斯在采访中说道。 “这意味着备注是客户服务人员可以添加到玩家账号上的内容，他们可以编辑和删除它们。因此，将密码更改标记为备注可能会被客户服务人员意外删除，而不是以任何人都无法更改的方式永久保留。” “因此，这实际上意味着，那些成功获取账号的人，他们是通过发送一个随机密码来攻击账号，然后在之后删除该备注。” 虽然开发团队正在分析日志以查找受影响的账号，但公司的日志保留政策却进一步阻碍了他们的努力。该政策导致在管理员账号被攻破期间，一些日志被删除。 “实际上，去年11月有五天我们没有日志，之后有66个账号的备注被删除，”罗杰斯继续说道。 开发团队承认游戏后端存在错误和安全漏洞，这些漏洞本可预防此次攻击。他们表示：“我们这次彻底搞砸了。” Grinding Gear Games向玩家保证，事件发生后，已经采取了多项安全措施，包括取消将Steam账号与管理员账号关联的功能。 然而，对于那些受影响的账号，Grinding Gear Games并未宣布任何补偿计划，而是表示无法恢复被盗物品。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： CISA已将BeyondTrust特权远程访问（PRA）和远程支持（RS）产品中的命令注入漏洞（CVE-2024-12686）标记为正在被攻击利用。 根据《强制性操作指令》（BOD）22-01的要求，该漏洞被纳入CISA的“已知被利用漏洞”目录后，美国联邦机构必须在2月3日前的三周内，针对该漏洞发起的持续攻击，确保其网络安全。 12月19日，美国网络安全机构还在同一款BeyondTrust软件产品中发现了另一个关键的命令注入安全漏洞（CVE-2024-12356）。 BeyondTrust在12月初调查其部分远程支持SaaS实例遭入侵事件时发现了这两个漏洞。攻击者窃取了一个API密钥，随后使用该密钥重置了本地应用账户的密码。 虽然BeyondTrust在12月的披露中并未明确提及，但威胁行为者很可能利用这两个漏洞作为零日漏洞，入侵BeyondTrust系统，进而攻击其客户。 1月初，财政部披露，攻击者使用窃取的远程支持SaaS API密钥，入侵了该部门使用的BeyondTrust实例。 此后，此次攻击被指与中国国家支持的黑客组织“丝绸台风”有关。该网络间谍组织以侦察和数据盗窃攻击而闻名，曾在2021年初利用Microsoft Exchange Server ProxyLogon零日漏洞入侵约68,500台服务器后广为人知。 威胁行为者专门瞄准了负责管理和执行贸易与经济制裁项目的外国资产控制办公室（OFAC），以及审查外国投资是否存在国家安全风险的美国外国投资委员会（CFIUS）。 他们还入侵了财政部的金融研究办公室系统，但此次事件的影响仍在评估中。据信，“丝绸台风”利用窃取的BeyondTrust数字密钥访问了“与潜在制裁行动和其他文件相关的非机密信息”。 BeyondTrust表示，它已对所有云实例中的CVE-2024-12686和CVE-2024-12356漏洞应用了安全补丁。但是，运行自托管实例的用户必须手动部署补丁。 该公司尚未在上个月发布的安全公告中将这两个安全漏洞标记为正在被攻击利用。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 通过控制被遗弃和过期的域名基础设施（每个域名仅需20美元），网络犯罪分子已劫持了此前由不同威胁行为者部署的至少4000个独特的网络后门。 网络安全公司WatchTowr Labs表示，其通过注册40多个后门原本用于命令与控制（C2）的域名，成功实施了此次行动。在与Shadowserver Foundation合作下，研究中涉及的域名已被封锁。 WatchTowr Labs首席执行官Benjamin Harris和研究人员Aliz Hammond在上周的技术报告中表示：“我们劫持了那些依赖现已被遗弃的基础设施和/或过期域名的后门，这些后门原本存在于其他后门之中，此后我们一直在观察结果如潮水般涌入。” “这次劫持使我们能够追踪受感染的主机在‘报告’时的动向，并在理论上使我们有权接管和控制这些受感染的主机。” 通过信标活动识别的受感染目标包括孟加拉国、中国和尼日利亚的政府机构，以及中国、韩国和泰国等地的学术机构。 这些后门其实是网络外壳，旨在为目标网络提供持续的远程访问，以便进行后续利用，其范围和功能各不相同： 能够通过PHP代码执行攻击者提供的命令的简单网络外壳 c99shell r57shell China Chopper，一种由中国关联的高级持续性威胁（APT）组织广泛共享的网络外壳 c99shell和r57shell都是功能全面的网络外壳，能够执行任意代码或命令、执行文件操作、部署额外的有效载荷、暴力破解FTP服务器，并从受感染的主机上自行删除。 WatchTowr Labs表示，其观察到一些网络外壳被脚本维护人员植入后门，以泄露其部署位置，从而无意中也将控制权交给了其他威胁行为者。 此次发现发生在该公司揭示其仅花费20美元便收购了一个与.mobi顶级域名（TLD）相关的旧版WHOIS服务器域名（“whois.dotmobiregistry[.]net”）之后几个月。该域名帮助识别出超过135000个独特系统，这些系统即使在迁移到“whois.nic[.]mobi”后仍与该服务器保持通信。 这些系统包括VirusTotal等各种私营企业，以及无数政府、军事和大学实体的邮件服务器。其中，.gov地址来自阿根廷、孟加拉国、不丹、埃塞俄比亚、印度、印度尼西亚、以色列、巴基斯坦、菲律宾、乌克兰和美国。 WatchTowr Labs表示：“看到攻击者和防御者犯同样的错误，这多少有些令人鼓舞。人们很容易陷入攻击者从不犯错的思维定式，但我们看到了相反的证据——存在开放网络外壳、过期域名和使用已被植入后门的软件的计算机。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，一种新的隐蔽信用卡盗刷攻击活动正瞄准WordPress电子商务结账页面，通过向与内容管理系统（CMS）相关的数据库表中插入恶意JavaScript代码来实施攻击。 Sucuri研究人员Puja Srivastava在新的分析中指出：“这款针对WordPress网站的信用卡盗刷恶意软件会悄无声息地将恶意JavaScript注入数据库条目中，以窃取敏感的支付信息。” “该恶意软件专门在结账页面上激活，要么劫持现有的支付字段，要么注入虚假的信用卡表单。” 这家由GoDaddy拥有的网站安全公司表示，它发现恶意软件被嵌入到WordPress的wp_options表中，该表具有“widget_block”选项，从而使其能够躲避扫描工具的检测，并在被攻陷的网站上持续存在而不引起注意。 通过这种方式，恶意JavaScript被插入到WordPress管理面板（wp-admin > widgets）中的HTML区块小部件中。 JavaScript代码的工作原理是检查当前页面是否为结账页面，并确保只有在网站访问者即将输入支付信息时才采取行动。此时，它会动态创建一个虚假的支付屏幕，模仿Stripe等合法的支付处理器。 该表单旨在捕获用户的信用卡号码、有效期、CVV号码和账单信息。此外，该恶意脚本还能够实时捕获在合法支付屏幕上输入的数据，以最大限度地提高兼容性。 随后，被盗数据会经过Base64编码并结合AES-CBC加密，以使其看起来无害并抵抗分析尝试。在最终阶段，数据会被传输到攻击者控制的服务器（“valhafather[.]xyz”或“fqbe23[.]xyz”）。 这一发现是在Sucuri突出类似攻击活动一个多月后出现的，该活动利用JavaScript恶意软件动态创建虚假的信用卡表单或提取结账页面上支付字段中输入的数据。 收集到的信息在被传输到远程服务器（“staticfonts[.]com”）之前，会经过三层混淆：首先将其编码为JSON，然后使用密钥“script”进行XOR加密，最后使用Base64编码。 Srivastava指出：“该脚本旨在从结账页面上特定的字段中提取敏感的信用卡信息。然后，该恶意软件通过Magento的API收集额外的用户数据，包括用户的姓名、地址、电子邮件、电话号码和其他账单信息。这些数据是通过Magento的客户数据和报价模型检索的。” 此次披露还紧随一起以金钱为目的的网络钓鱼邮件活动的发现，该活动诱骗收件人点击伪装成近2200美元未支付请求下的PayPal登录页面。 Fortinet FortiGuard Labs的Carl Windsor表示：“骗子似乎只是注册了一个为期三个月免费的Microsoft 365测试域名，然后创建了一个包含受害者电子邮件的分发列表（Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com）。在PayPal网页门户上，他们只是请求资金，并将分发列表作为地址添加。” 该活动之所以狡猾，是因为邮件来自合法的PayPal地址（[email protected]），并包含真实的登录网址，这使得邮件能够绕过安全工具的检测。 更糟糕的是，一旦受害者尝试登录他们的PayPal账户了解支付请求，他们的账户就会自动与分发列表的电子邮件地址关联，从而使威胁行为者能够控制该账户。 近几周来，还观察到恶意行为者利用一种名为交易模拟欺骗的新技术从受害者的钱包中窃取加密货币。 Scam Sniffer表示：“现代Web3钱包将交易模拟作为用户友好的功能纳入其中。此功能允许用户在签署交易之前预览其预期结果。虽然旨在提高透明度和用户体验，但攻击者已找到利用此机制的方法。” WordPress信用卡盗刷软件 感染链涉及利用交易模拟和执行之间的时间差，使攻击者能够设置模仿去中心化应用（DApps）的虚假网站，以执行欺诈性的钱包资金耗尽攻击。 Web3反诈骗解决方案提供商表示：“这一新的攻击手段代表了网络钓鱼技术的重大演变。攻击者不再依赖简单的欺骗手段，而是利用用户依赖的安全功能的可信钱包。这种复杂的方法使检测变得特别具有挑战性。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，Aviatrix Controller云网络平台的一个关键安全漏洞被公开，该漏洞已在野外被积极利用，以部署后门程序和加密货币挖矿软件。 云安全公司Wiz表示，目前正在应对多起涉及CVE-2024-50603（CVSS评分：10.0）武器化的事件，这是一个可能导致未经授权的远程代码执行的最严重漏洞。 换言之，由于某些API端点没有充分对用户输入进行清理，成功利用该漏洞的攻击者可以注入恶意操作系统命令。该漏洞已在7.1.4191和7.2.4996版本中得到修复。 波兰网络安全公司Securing的安全研究员Jakub Korepta发现并报告了这一缺陷，并因此受到赞誉。此后，一个概念验证（PoC）漏洞利用工具已被公开。 网络安全公司收集的数据显示，约3%的云企业环境部署了Aviatrix Controller，其中65%的环境展示了横向移动到云控制平面管理权限的路径。这反过来又允许在云环境中进行权限提升。 Wiz研究人员Gal Nagli、Merav Bar、Gili Tikochinski和Shaked Tanchuma表示：“当Aviatrix Controller部署在AWS云环境中时，它默认允许权限提升，这使得该漏洞的利用成为高风险。” 利用CVE-2024-50603的现实攻击正在利用对目标实例的初步访问，使用XMRig挖掘加密货币，并部署Sliver指挥和控制（C2）框架，可能是为了持久性和后续利用。 Wiz研究人员表示：“虽然我们尚未看到云横向移动的直接证据，但我们确实认为，威胁行为者很可能正在利用该漏洞来枚举主机的云权限，然后转向从受害者的云环境中提取数据。” 鉴于该漏洞正在被积极利用，建议用户尽快应用补丁，并阻止对Aviatrix Controller的公共访问。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

亲俄黑客Noname057(16)上周末针对意大利各部委、机构、关键基础设施网站和私人组织发动攻击。新一轮攻击恰逢乌克兰总统泽连斯基访问意大利。 该组织在其 Telegram 频道上宣布对此次攻击负责。 1 月 11 日星期六，攻击针对了意大利各部委和政府机构，而周日，新一波 DDoS 攻击袭击了意大利银行和私营企业。 黑客活动分子发起的攻击在威胁领域并不是什么新鲜事，并且会造成一些破坏和暂时的服务中断。 国家网络安全局 (ACN) 的专家为受影响的组织提供支持，减轻攻击并恢复功能。 目标名单很长，包括外交部、基础设施和交通部、意大利金融市场监管机构 Consob、空军、海军、宪兵队和当地公共交通公司，包括罗马的 Atac 和热那亚的 Amt。 Noname057(16) 黑客还攻击了意大利银行，包括 Intesa、Monte Paschi di Siena 以及意大利塔兰托和的里雅斯特港口。亲俄黑客还针对私人组织，包括 Vulcanair 和 Olidata。 12 月底，在地缘政治紧张局势加剧的背景下，亲俄组织 NoName057 对意大利的几家网站发起了新一轮 DDoS 攻击，其中包括马尔彭萨机场和利纳特机场。 NoName57 组织自 2022 年 3 月以来一直活跃，并以全球政府和关键基础设施组织为目标。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/ipCD7Z-4hPdf7PBBMiEiDA 封面来源于网络，如有侵权请联系删除

印度加密货币交易所 Mudrex 因合规性更新而停止提款至 1 月 28 日，引发了用户的反弹和社区的怀疑。 印度加密货币交易所 Mudrex 暂时停止了加密货币提现，引发了加密货币社区的反弹。 1 月 11 日，Mudrex 暂停了其平台上的加密货币提现，让用户对这一突然决定感到不解。 该公司告诉 Cointelegraph，暂停是暂时的，将持续到 1 月 28 日，目的是升级平台的合规框架，防止不良行为者滥用。 当被问及暂停运营以进行合规升级的必要性时，Mudrex 的联合创始人兼首席执行官 Edul Patel 说： 他说：“像加密货币这样重要的东西，你必须这样做。如果基础设施不正确，就很容易被滥用于邪恶活动。作为一个负责任的平台，我们需要确保我们的系统到位，并在各个时间点改进服务。” 值得注意的是，Mudrex 是印度少数几家允许加密货币提现的加密货币交易所之一。 “过去三年半以来，我们是印度唯一一家允许加密货币提现的公司，我们将继续坚持这一点。”帕特尔说。 社区反弹 在加密货币交易商 Vivan Live 在 X 上发帖，警告 Mudrex 用户立即撤回资金后，这一问题获得了关注。 Vivan 在帖子中写道： “恭喜！Mudrex 禁用了加密货币提款功能！别说我没告诉你！如果你还没把钱取出来，把它兑换成印度卢比–提现到你的银行，然后跑吧！” 另一位社区成员 Aakash Athawasya 对该交易所的意图表示怀疑，认为 Mudrex “本来就没有（加密货币提现）”，并指责它提供的是 “价格曝光，而不是所有权”。他说，“十英尺长的杆子 ”他都不会碰 Mudrex。 资料来源 Aakash Athawasya Mudrex 报告称，其用户数量每年增长 200%，达到 300 万，12 月份的交易量激增 20 倍，达到 2 亿美元。 印度面临着越来越严格的监管审查，这已经导致 Bybit 等交易所暂停了在该国的业务。Bybit宣布，从1月12日起，它将限制服务，包括加密货币交易、开户和下单，理由是不断变化的监管动态是其暂时退出印度市场的原因。 CoinDCX 推出加密货币提现服务 印度加密货币交易所 CoinDCX 为其用户推出了加密货币提现功能。 1 月 6 日，CoinDCX 首席执行官苏米特-古普塔（Sumit Gupta）在 X 上宣布，第一阶段将向 150 万用户推出该功能，并计划在后续阶段扩大该功能。 不过，选择加密货币取款的用户将不得不永久关闭其印度卢比存款功能，但卢比取款仍可继续使用。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303436 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 网络犯罪分子正采用一种名为“交易模拟欺诈”的新手段窃取加密货币，其中一起攻击成功盗取了价值约46万美元的143.45枚以太坊。 此次由ScamSniffer发现的攻击，凸显了现代Web3钱包中交易模拟机制存在的漏洞，该机制本应用于保护用户免受欺诈和恶意交易侵害。 攻击原理 交易模拟功能允许用户在签署和执行区块链交易前预览预期结果。 该功能旨在通过帮助用户验证交易内容（如转账的加密货币数量、燃气费及其他交易费用以及链上数据变化等）来增强安全性和透明度。 攻击者诱导受害者访问一个模仿合法平台的恶意网站，该网站启动了一个看似“领取”功能的操作。交易模拟显示用户将获得少量以太坊。 然而，模拟与执行之间存在时间延迟，攻击者利用这一时间差更改链上合约状态，从而在交易获得批准后改变其实际执行内容。 受害者信任钱包的交易模拟结果并签署了交易，导致网站将其钱包中的所有加密货币转至攻击者钱包。 攻击流程 ScamSniffer指出一起真实案例，受害者在状态更改后30秒签署了欺诈交易，导致资产（143.35枚以太坊）全部损失。 ScamSniffer警告称：“这种新的攻击方式标志着网络钓鱼技术的重大演变。攻击者不再依赖简单的欺骗手段，而是利用用户依赖的受信任钱包功能。这种复杂手段使得检测尤为困难。” 初始模拟（上）与篡改后的交易（下） 区块链监测平台建议，Web3钱包应降低模拟刷新频率以匹配区块链区块时间，在关键操作前强制刷新模拟结果，并添加过期警告以提醒用户风险。 从用户角度来看，这一新型攻击表明不应信任钱包模拟。 加密货币持有者应谨慎对待不明网站上的“免费领取”优惠，并仅信任经过验证的去中心化应用（dApps）。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正利用一种手段，关闭苹果iMessage针对短信的内置防钓鱼保护机制，并诱骗用户重新启用被禁用的钓鱼链接。 随着我们越来越多的日常活动，如支付账单、购物或与朋友和同事交流，都是通过移动设备完成的，威胁行为者针对手机号码的短信网络钓鱼（smishing）攻击日益增多。 为保护用户免受此类攻击，苹果iMessage会自动禁用来自未知发件人（无论是电子邮件地址还是电话号码）的消息中的链接。 然而，苹果向BleepingComputer透露，如果用户回复该消息或将发件人添加到联系人列表中，链接将被启用。 过去几个月，BleepingComputer发现，试图诱骗用户回复短信以重新启用链接的短信网络钓鱼攻击激增。 如下所示，一条假冒的美国邮政服务（USPS）运输问题短信和一条假冒的未支付道路通行费短信均由未知发件人发送，而iMessage自动禁用了这些链接。 含有禁用链接的短信网络钓鱼攻击（来源：BleepingComputer） 虽然这些钓鱼诱饵并非新鲜事物，但我们注意到，这些短信网络钓鱼文本以及最近发现的其他文本都要求用户回复“Y”以启用链接。 短信网络钓鱼消息中写道：“请回复Y，然后退出短信，重新打开短信激活链接，或将链接复制到Safari浏览器打开。” 进一步研究表明，这种策略在过去一年中已被使用，自夏季以来更是激增。 由于用户已习惯于输入STOP、Yes或NO来确认预约或选择不接收短信，威胁行为者希望这种熟悉的行为会促使短信接收者回复短信并启用链接。 这样做将重新启用链接，并关闭此短信的iMessage内置防钓鱼保护机制。 即使用户没有点击现在已启用的链接，回复的行为也告诉威胁行为者，他们现在有一个会对钓鱼短信作出回应的目标，从而使其成为更大的目标。 虽然我们的大多数常规读者都能识别出这些是钓鱼攻击，但BleepingComputer的一位年长的家庭朋友向我们展示了上述短信之一，他不确定其是否合法。 不幸的是，这类人通常是这类钓鱼短信的目标，导致他们输入个人信息、信用卡信息或其他攻击者随后会窃取的信息。 如果您收到链接被禁用或来自未知发件人要求您回复的短信，强烈建议您不要回复。 相反，请直接联系公司或组织以验证短信内容，并询问是否还有其他需要您做的事情。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员揭示了一个新兴的人工智能（AI）辅助勒索软件家族——FunkSec，该家族于2024年末崭露头角，至今已造成85名以上受害者。 Check Point Research在与The Hacker News分享的最新报告中指出：“该团伙采用双重勒索战术，结合数据窃取与加密手段，向受害者施压以索取赎金。值得注意的是，FunkSec要求的赎金异常低廉，有时低至1万美元，并以折扣价将窃取的数据出售给第三方。” 2024年12月，FunkSec推出了数据泄露网站（DLS），以“集中化”其勒索软件运营，发布泄露公告，提供分布式拒绝服务（DDoS）攻击定制工具，并作为勒索软件即服务（RaaS）模式的一部分，推出定制勒索软件。 受害者主要分布在美国、印度、意大利、巴西、以色列、西班牙和蒙古国。Check Point对该团伙活动的分析显示，这可能是由寻求通过再利用先前黑客活动相关泄露信息来吸引名声的新手所为。 据Halcyon称，FunkSec的特点在于，它既是勒索软件团伙，又是数据掮客，以1000至5000美元的价格向感兴趣的买家兜售窃取的数据。 已确定该RaaS团伙中的部分成员从事黑客活动，这凸显了黑客主义与网络犯罪之间界限的持续模糊，正如国家行为体和有组织网络犯罪分子日益展现出“战术、技术和甚至目标方面令人不安的趋同”一样。 他们还声称以印度和美国为目标，与“自由巴勒斯坦”运动保持一致，并试图与现已不存在的黑客实体如Ghost Algeria和Cyb3r Fl00d建立联系。以下是与FunkSec相关的一些显著人物： Scorpion（又名DesertStorm），一名疑似来自阿尔及利亚的参与者，曾在地下论坛如Breached Forum上宣传该团伙。 El_farado，在DesertStorm被Breached Forum封禁后，成为宣传FunkSec的主要人物。 XTN，一名可能的同伙，参与了一项尚不清楚的“数据分类”服务。 Blako，被DesertStorm与El_farado一同标记。 Bjorka，一名印尼知名黑客活动分子，其别名被用于在DarkForums上声称与FunkSec相关的泄露，这可能指向松散的隶属关系或他们试图冒充FunkSec。 该团伙可能也涉足黑客活动的迹象体现在存在DDoS攻击工具以及与远程桌面管理（JQRAXY_HVNC）和密码生成（funkgenerate）相关的工具。 Check Point指出：“包括加密器在内的该团伙工具的开发可能得到了AI的辅助，这有助于他们快速迭代，尽管开发者显然缺乏技术专长。” 名为FunkSec V1.5的最新勒索软件版本用Rust编写，相关文件是从阿尔及利亚上传到VirusTotal平台的。对旧版本恶意软件的检查发现，勒索软件说明中提到了FunkLocker和Ghost Algeria。这些样本大多是从阿尔及利亚上传的，可能是开发者本人所为，这表明威胁行为者来自该国。 勒索软件二进制文件被配置为递归遍历所有目录并加密目标文件，但在提升权限、采取措施禁用安全控制、删除卷影复制备份以及终止硬编码的进程和服务列表之前不会这样做。 Check Point Research威胁情报小组经理Sergey Shykevich在一份声明中表示：“2024年是勒索软件团伙非常成功的一年，与此同时，全球冲突也助长了不同黑客团体的活动。FunkSec是最近涌现的一个新团伙，在12月成为最活跃的勒索软件团伙，模糊了黑客主义与网络犯罪之间的界限。受政治议程和财务激励的双重驱使，FunkSec利用AI并重新利用旧的数据泄露来建立一个新的勒索软件品牌，尽管其活动的真正成功性仍高度可疑。” 与此同时，Forescout详细描述了Hunters International的一次攻击，该攻击可能利用Oracle WebLogic Server作为初始入口点，投放China Chopper web shell，然后用于执行一系列后利用活动，最终导致勒索软件的部署。 Forescout表示：“在获得访问权限后，攻击者进行了侦察和横向移动，以绘制网络地图并提升权限。攻击者使用了多种常见的行政和红队工具进行横向移动。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   近日，网络安全研究人员详细披露了一个现已修复的安全漏洞，该漏洞影响三星智能手机上的Monkey’s Audio（APE）解码器，可能导致代码执行。 此高严重性漏洞被追踪为CVE-2024-49415（CVSS评分：8.1），影响运行Android 12、13和14版本的三星设备。 三星在其2024年12月发布的月度安全更新公告中称：“在SMR Dec-2024 Release 1之前的libsaped.so中存在越界写入漏洞，允许远程攻击者执行任意代码。该补丁增加了适当的输入验证。” 发现并报告此漏洞的谷歌Project Zero研究人员娜塔莉·西尔瓦诺维奇表示，在特定条件下，该漏洞无需用户交互即可触发（即零点击），并构成了一个“有趣的新攻击面”。 特别是，当谷歌信息应用配置为富通信服务（RCS），即Galaxy S23和S24手机的默认配置时，该漏洞便会生效，因为转录服务会在用户与消息互动以进行转录之前，对传入的音频进行本地解码。 “libsaped.so中的saped_rec函数向由C2媒体服务分配的dmabuf写入数据，该dmabuf的大小始终显示为0x120000，”西尔瓦诺维奇解释道。 “虽然libsapedextractor提取的最大blocksperframe值也限制在0x120000以内，但如果输入样本的字节数为24，saped_rec最多可以写入3 * blocksperframe字节。这意味着，一个具有较大blocksperframe大小的APE文件可能会严重溢出此缓冲区。” 在假设的攻击场景中，攻击者可以通过谷歌信息应用向任何启用了RCS的目标设备发送特制的音频消息，从而导致其媒体编解码器进程（“samsung.software.media.c2”）崩溃。 三星2024年12月的补丁还修复了SmartSwitch中的另一个高严重性漏洞（CVE-2024-49413，CVSS评分：7.1），该漏洞可能会被本地攻击者利用，通过不正当的加密签名验证来安装恶意应用程序。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国司法部周五指控三名俄罗斯国民涉嫌运营加密货币混淆服务Blender.io和Sinbad.io。 罗曼·维塔利耶维奇·奥斯塔彭科和亚历山大·叶夫根尼耶维奇·奥列伊尼克于2024年12月1日在荷兰金融情报与调查局、芬兰国家调查局和FBI的协调下被捕。 两人的被捕地点未公开。第三名嫌疑人安东·维亚切拉维奇·塔拉索夫仍在逃。 被告被指控运营加密货币混淆器（又称“搅拌器”），这些服务成为“清洗犯罪所得资金”的避风港，包括勒索软件和电信诈骗所得，从而使国家支持的黑客团体和网络犯罪分子能够从其恶意活动中获利。 具体而言，他们允许付费用户以掩盖加密货币来源和资金源自各种网络犯罪事实的方式，将加密货币发送给指定收款人。 美国佐治亚州北区检察官瑞安·K·布坎南表示：“Blender.io和Sinbad.io涉嫌被全球罪犯用于清洗从勒索软件受害者、虚拟货币失窃案和其他犯罪中窃取的资金。” Blender于2018年推出，2022年5月被美国财政部制裁，原因是与朝鲜有关联的拉扎勒斯集团利用该服务清洗网络犯罪所得，包括一起针对Ronin Bridge的黑客攻击所得。 “该服务在一个流行的互联网论坛上宣传称拥有‘无日志政策’，并会删除用户交易的所有痕迹，”司法部表示，“此外，广告中描述称，Blender不要求用户注册、登录或‘提供除接收地址外的任何详细信息！’” Blender还被指控为与俄罗斯有关的勒索软件团伙（如TrickBot、Conti（前身为Ryuk）、Sodinokibi（又称REvil）和Gandcrab）提供洗钱便利。虽然Blender在制裁公告发布前一个月停止运营，但区块链情报公司Elliptic在2023年5月透露，该服务“极有可能”在2022年10月初以Sinbad的名义重新命名并推出。 一年多后，国际执法机构查封了与Sinbad相关的在线基础设施，并对该混淆器处以制裁，因其处理了价值数百万美元的来自拉扎勒斯集团抢劫案的虚拟货币。 55岁的奥斯塔彭科被指控一项洗钱共谋罪和两项经营未获授权的资金转账业务罪。 44岁的奥列伊尼克和32岁的塔拉索夫被指控一项洗钱共谋罪和一项经营未获授权的资金转账业务罪。如被定罪，这三名被告均面临每项指控最高25年的监禁。 此消息传出之际，Chainalysis表示，在与加拿大执法部门合作的“Spincaster行动”和“DeCloak行动”中，已确认超过1100名加密货币诈骗受害者，估计总损失超过2500万美元。 在这些诈骗中，骗子通常会指示受害者设立自己的自托管钱包，在加拿大的集中式交易所购买加密货币，并将这些资金发送到自托管钱包。 Chainalysis表示：“骗子向受害者付款，诱使他们将资金存入自托管钱包。然后，骗子诱使受害者将加密货币发送到目标地址，从而榨干受害者的钱包/资金。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软透露，正对一家“境外威胁行为组织”采取法律行动，因该组织运营了一项“黑客即服务”基础设施，故意绕过其生成式人工智能（AI）服务的安全控制，制作攻击性和有害内容。 这家科技巨头的数字犯罪部门（DCU）表示，已观察到这些威胁行为者“开发了复杂的软件，利用从公共网站上抓取到的暴露的客户凭证”，并“试图识别和非法访问某些生成式AI服务的账户，故意篡改这些服务的功能”。 随后，这些对手利用Azure OpenAI服务等，通过向其他恶意行为者出售访问权限来获利，并为他们提供如何使用这些定制工具生成有害内容的详细指导。微软表示，其于2024年7月发现了这一活动。 微软表示，自那以后，已撤销了该威胁行为组织的访问权限，实施了新的应对措施，并加强了保障措施，以防止此类活动在未来再次发生。同时，微软还表示已获得法院命令，查封了该组织犯罪活动的核心网站（“aitism[.]net”）。 随着OpenAI ChatGPT等AI工具的普及，威胁行为者滥用这些工具进行恶意活动的现象也屡见不鲜，从制作违禁内容到开发恶意软件等。微软和OpenAI曾多次披露，来自中国、伊朗、朝鲜和俄罗斯的国家组织正在利用他们的服务进行侦察、翻译和虚假信息宣传活动。 法院文件显示，至少有三名未知人员参与了此次活动，他们利用窃取的Azure API密钥和客户Entra ID认证信息侵入微软系统，违反可接受使用政策，使用DALL-E创建有害图像。据信，还有另外七方使用了他们提供的服务和工具进行类似活动。 目前尚不清楚这些API密钥是如何被窃取的，但微软表示，被告从包括多家美国公司在内的多个客户那里进行了“系统性API密钥盗窃”，其中一些公司位于宾夕法尼亚州和新泽西州。 微软在一份文件中表示：“被告使用属于美国微软客户的被盗Microsoft API密钥，创建了一个‘黑客即服务’计划，该计划可通过‘rentry.org/de3u’和‘aitism.net’等基础设施访问，专门用于滥用微软的Azure基础设施和软件。” 一个现已被删除的GitHub存储库显示，de3u被描述为“具有反向代理支持的DALL-E 3前端”。该GitHub账户于2023年11月8日创建。 据说，在查封“aitism[.]net”后，这些威胁行为者采取了“掩盖行踪”的措施，包括试图删除某些Rentry.org页面、de3u工具的GitHub存储库以及反向代理基础设施的部分内容。 微软指出，这些威胁行为者使用de3u和一款名为oai反向代理的定制反向代理服务，利用被盗的API密钥向Azure OpenAI Service API发出请求，以文本提示非法生成数千张有害图像。目前尚不清楚创建了何种类型的攻击性图像。 运行在服务器上的oai反向代理服务旨在通过Cloudflare隧道将de3u用户计算机的通信传输到Azure OpenAI Service，并将响应传回用户设备。 “de3u软件允许用户通过简单的用户界面发出Microsoft API调用，利用Azure API访问Azure OpenAI Service，使用DALL-E模型生成图像，”微软解释道。 “被告的de3u应用程序使用未记录的Microsoft网络API与Azure计算机通信，发送旨在模仿合法Azure OpenAPI Service API请求的请求。这些请求使用被盗的API密钥和其他认证信息进行身份验证。” 值得一提的是，Sysdig于2024年5月指出，使用代理服务非法访问大型语言模型（LLM）服务与针对Anthropic、AWS Bedrock、Google Cloud Vertex AI、Microsoft Azure、Mistral和OpenAI等AI服务的LLMjacking攻击活动有关，这些攻击活动利用了被盗的云凭证，并将访问权限出售给其他行为者。 微软表示：“被告通过协调一致和持续的非法活动模式，开展Azure滥用企业的相关事务，以实现其共同的非法目的。” “被告的非法活动模式不仅限于对微软的攻击。微软迄今发现的证据表明，Azure滥用企业一直在瞄准并侵害其他AI服务提供商。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一家领先的教育软件制造商承认其 IT 环境在一次网络攻击中遭到破坏，学生和教师的个人数据（包括一些社会安全号码和医疗信息）被盗。 PowerSchool 称，其基于云的学生信息系统被包括美国和加拿大在内的全球 18000 家客户用于处理 6000 多万 K-12 学生和教师的评分、出勤记录和个人信息。 12 月 28 日，有人 “使用被泄露的凭证 ”进入了该系统并访问了其中的内容，这家总部位于加利福尼亚州的公司在本周 Register 看到的一封电子邮件中告诉其客户。 一位学校首席技术官今天对 El Reg 说：“我很想看到更多关于发生在最大的学生信息系统供应商之一身上的这一严重安全漏洞的报道，”他补充说： “PowerSchool 很可能违反了他们与学区签署的数据隐私协议。联邦和州一级也有一些涉及学生隐私的法律。” 这位负责人说，该软件开发商用了近两周的时间来提醒客户，目前他们学校正在开展工作，以确定入侵的全部程度。 在加拿大，至少多伦多地区教育局向学生和教职员工发送了一份说明，警告 PowerSchool 遭受了 “2024 年 12 月 22 日至 28 日之间的数据泄露”。 未经授权的行为者提取了学生信息系统数据库中的两个表。 与此同时，PowerSchool 告诉我们，有人利用上述被盗凭证从其信息系统中复制了人们的私人信息。 一位发言人告诉我们：“我们认为，未经授权的行为者在学生信息系统数据库中提取了两张表。这些表格主要包括联系信息，数据元素包括家庭和教育工作者的姓名和地址信息。” “对于部分客户，这些表格可能还包括社会安全号、其他个人身份信息以及有限的医疗和成绩信息。” “并非所有 PowerSchool 学生信息系统的客户都受到影响，我们预计只有一部分受影响的客户有通知义务。” 该供应商表示，这不是一次涉及勒索软件或利用软件漏洞的攻击，而是一次相当直接的网络渗透。该公司已请一家独立的安全公司对其系统进行全面审计，并了解具体发生了什么情况以及谁受到了影响。 开发商告诉客户：“我们预计数据不会被共享或公开，我们相信数据已经被删除，不会再有任何复制或传播。” 开发人员告诉客户：“我们还停用了受影响的凭据，并限制了对受影响门户网站的所有访问。最后，我们对所有 PowerSource 客户支持门户账户进行了全面的密码重置，并进一步加强了密码和访问控制。” PowerSchool 表示，“根据监管和合同义务”，任何受影响的成年人都将获得免费的信用监控服务，而未成年人则将获得一家未具名身份保护服务公司的订阅服务。 有趣的是，安全机构 Cyble 认为，这次入侵可能比迄今为止公开承认的更为严重，持续时间也更长。 这家网络安全厂商一直在监控黑帽黑客论坛，并表示从研究结果来看，这次入侵最早可能发生在 2011 年 6 月 16 日，而数字入侵则在今年 1 月 2 日结束。 Cyble 的威胁情报主管考斯图布-梅德（Kaustubh Medhe）说，有证据表明，“旨在渗透系统并提取有价值信息的数据窃取恶意软件 ”被用于攻击 PowerSchool 的员工和/或用户。 据悉，“Oracle Netsuite ERP、HR 软件 UltiPro、Zoom、Slack、Jira、GitLab 等关键系统和应用程序，以及 Microsoft 登录、LogMeIn、Windows AD Azure 和 BeyondTrust 等平台的敏感凭据 ”可能已因此受到损害。 我们已要求 PowerSchool 对 Cyble 的调查结果做出回应。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303389 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 自“白厅进程”启动以应对商业黑客工具“泛滥及滥用”问题一年以来，其参与者担忧该倡议缺乏实际改变这些工具交易和使用方式的能力。 白厅进程组织者周三发布的咨询总结显示，所谓商业网络入侵能力（CCIC）的市场正在扩大，并警告称，CCIC对国家安全和人权构成的威胁“预计将在未来几年增加”。 早在2023年，英国政府通信总部（GCHQ）就警告称，过去十年里，80多个国家购买了间谍软件，其中一些国家利用这些软件“瞄准记者、人权活动家、政治异见人士和反对者以及外国政府官员”。 为应对这一问题，去年2月，英国和法国政府在伦敦共同主办了一场会议，召集外交官、行业代表、学者和民间团体承诺采取行动。 据Recorded Future News当时报道，一些最重要的CCIC出口国——尤其是以色列、印度、奥地利、埃及和北马其顿——选择不参加会议，且参会行业代表中没有销售引起担忧的CCIC者。同样拥有国内CCIC行业的俄罗斯也不太可能受邀参会。 尽管会议召开之际，美国刚宣布将限制“涉及滥用商业间谍软件”人员的签证，并将多家涉嫌助长侵犯人权行为的间谍软件公司列入制裁名单，但参会国家此后均未采取类似措施。 相反，与会者现已就CCIC供应商和国家的良好做法应为何样，制定了一份56页的咨询报告。该报告多次提及“担忧”（超过30次），并附带说明不代表英国或法国政府政策，广泛质疑该进程如何能将那些对解决问题毫无兴趣的政府和企业纳入其中。 英国渗透测试企业NCC Group的政府事务主管凯瑟琳·索默表示：“‘白厅进程’面临的挑战在于，它故意撒下大网，旨在纳入并吸引CCIC生态系统中的大多数，但实际上如何触及那些行为和做法需要改变以真正产生影响的群体。”“负责任的行为者和寻求澄清和指导的积极参与者将从‘白厅进程’下一阶段的成果中受益。但我们所有人都希望看到的重大转变目前仍难以预见，”索默告诉Recorded Future News，并补充说，“但这不应阻止我们继续尝试！” 网络研究非营利组织Virtual Routes（以其原名参与‘白厅进程’）联合主任詹姆斯·夏尔斯称赞该进程是“CCIC治理方面迈出的一大步”，但仍“遇到与其他努力相同的根本障碍”。 夏尔斯强调，各国对“国家安全”的不同定义助长了CCIC的滥用，并阻碍了对这些能力采购情况的独立监督。 他补充说，“与网络安全能力建设之间的联系凸显了‘有者’和‘无者’之间的不公平感。对一些发展中国家而言，具有讽刺意味的是，‘白厅进程’的组织者英国和法国一方面想限制（CCIC的）获取，另一方面却又支持自己的间谍软件行业。” 夏尔斯还表示，“大帐篷式做法有可能同意联合国已确立的那类自愿准则或最佳做法——而这些准则在更广泛的网络空间负责任国家行为方面经常被公然违反——而不是针对已知违规者和滥用者（无论是国家还是公司）采取具体、有针对性的行动。” 迄今为止，只有美国采取了针对性行动。国务卿安东尼·布林肯称CCIC威胁“隐私和言论自由、和平集会和结社自由”。他在国务院发布针对从事间谍软件行业人员的签证限制时发表的评论还谈到了该技术“在最恶劣的情况下与任意拘留、强迫失踪和法外处决有关”。 在唐纳德·特朗普赢得选举胜利后举行的白厅进程会议上，据一位与会者称，与会者对新政府是否会对此话题表现出同等兴趣表示怀疑，一些人因其他政府没有紧急采取具体行动解决CCIC滥用问题而感到沮丧。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文